[okshef]

• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\Yefim\AppData\Local\Temp\nfc490C.tmp
O10 - Broken Internet access because of LSP provider 'c:\users\yefim\appdata\roaming\microsoft\windows\cookies\userlib.dll' missing

• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Yefim\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll','');
 DeleteFile('C:\Users\Yefim\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(14);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

[Razey]

Сделал все как вы написали:

1. Пофиксил в HijackThis, но после выполнения строк выдал следующее: "...HijackThis cannot repair 010 Winsock LSP entries. You should use LSPFix for that, which is available from: http:\\www.cexx.org\\lspfix.htm

2. Во время выполнения скрипта AVZ система выдала ошибку (лог прилагаю, crash_avz.rar), повисла, не смогла перегрузиться и выдала окно с 2-мя вариантами: закрытием программы и ее отладкой. При выборе любого из 2-х прога выключалась, однако записал (с экрана) лог, который она в своем окне выдавала (может быть, как-то поможет):

Функция user.dll:BlockInput (1517) перехвачена, метод APICodeHijack.JumpTo[1000AF66]>>>> Код руткита в функции BlockInput нейтрализован

Функция user32.dll:DefDlgProcA(1657) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D1 Перехватчик user32.dll:DefDlgProcA(1657), нейтрализован

и т.д.

4. Сгенерированный файл quarantine.zip на newvirus@kaspersky.com отправил

[okshef]

Razey, повторите скрипт в таком виде

Код:

begin
 QuarantineFile('C:\Users\Yefim\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll','');
 DeleteFile('C:\Users\Yefim\AppData\Roaming\Microsoft\Windows\Cookies\userlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(14);
RebootWindows(true);
end.

[Razey]

Скрипт выполнил. После перезагрузки интернет под х64 заработал. Пришел ответ от ЛК на посланный еще вчера файл (новый quarantine.zip не формировал) - вирусов в файле нет.

Спасибо, okshef , сильно выручили.